AWS RDS - 是否符合 HIPAA 标准?
AWS RDS - HIPAA compliant?
我计划在 AWS 上安装 Oracle。
Oracle RDS 是否符合 HIPAA 标准?如何使其符合 HIPAA 标准?
@党
没有 AWS 官方文档说 RDS 可以符合 HIPAA 标准。相反,EC2、S3 和 EBS 是已知服务。让您的 AWS 服务符合 HIPAA 标准的方法如下:
- 客户必须向 AWS 确定 BAA 涵盖的每个账户
作为 'HIPAA Account'.
- 客户只能在 EC2、S3 和 EBS 上处理、存储或传输 PHI。
- 客户必须为 PHI 数据使用专用实例 -
http://aws.amazon.com/dedicated-instances/
- 客户必须使用VPC
- 客户必须按照特定的最低要求对所有 PHI 进行加密
加密标准
- 客户可以在其 'HIPAA Account' 中使用任何 AWS 服务来获取数据
那不是 PHI
因此,要从 AWS 获得 BAA 协议,您需要 VPC 中的专用实例 运行,而不是 "classic" EC2。 (专用实例的定价从一开始就下降了很多。)
我不能肯定地评论 RDS。据我所知,通过在端口 443 上使用 SSL,RDS 可以变得非常安全。
我的建议是,如果您是 AWS 授权客户,请咨询 AWS 客户服务主管,因为他们是验证我的回答的最佳人选。
谢谢
最近刚刚更改了答案。根据他们的 documentation/FAQ:
,RDS 现在符合 HIPAA 标准
What Services Can I Use in My AWS Account if I Have a BAA with AWS?
Customers may use any AWS service in an account designated as a HIPAA account, but they should only process, store and transmit PHI in the HIPAA-eligible services defined in the BAA. There are nine HIPAA-eligible services today, including Amazon DynamoDB, Amazon EBS, Amazon EC2, Amazon Elastic MapReduce (EMR), Amazon Elastic Load Balancer (ELB), Amazon Glacier, Amazon Relational Database Service (RDS) [MySQL and Oracle engines], Amazon Redshift, and Amazon S3.
引用 Amazon Web Services 于 2015 年 12 月发布的白皮书(link 下文提到)
一旦您签署商业伙伴协议并且您的账户被指定为 "HIPAA account"
,Amazon RDS for Oracle 和 Amazon RDS for Mysql 就可以根据 HIPAA 标准使用
Link到白皮书-https://d0.awsstatic.com/whitepapers/compliance/AWS_HIPAA_Compliance_Whitepaper.pdf
Amazon RDS 是一个 AWS HIPAA-Eligible Service 意味着它可以与
一起使用
为了在 AWS 中符合 HIPAA,您的团队必须执行以下操作:
- 与 AWS 签署商业伙伴协议 (BAA)。该协议概述了云提供商和云客户之间共享的 HIPAA 安全责任
- 采用适当的管理政策和程序
- 为单个云服务(例如 RDS、EC2 和 S3)实施所有必要的安全配置。安全标准包括围绕加密、备份和灾难恢复以及访问控制配置保护措施。
我计划在 AWS 上安装 Oracle。
Oracle RDS 是否符合 HIPAA 标准?如何使其符合 HIPAA 标准?
@党
没有 AWS 官方文档说 RDS 可以符合 HIPAA 标准。相反,EC2、S3 和 EBS 是已知服务。让您的 AWS 服务符合 HIPAA 标准的方法如下:
- 客户必须向 AWS 确定 BAA 涵盖的每个账户 作为 'HIPAA Account'.
- 客户只能在 EC2、S3 和 EBS 上处理、存储或传输 PHI。
- 客户必须为 PHI 数据使用专用实例 - http://aws.amazon.com/dedicated-instances/
- 客户必须使用VPC
- 客户必须按照特定的最低要求对所有 PHI 进行加密 加密标准
- 客户可以在其 'HIPAA Account' 中使用任何 AWS 服务来获取数据 那不是 PHI
因此,要从 AWS 获得 BAA 协议,您需要 VPC 中的专用实例 运行,而不是 "classic" EC2。 (专用实例的定价从一开始就下降了很多。)
我不能肯定地评论 RDS。据我所知,通过在端口 443 上使用 SSL,RDS 可以变得非常安全。
我的建议是,如果您是 AWS 授权客户,请咨询 AWS 客户服务主管,因为他们是验证我的回答的最佳人选。
谢谢
最近刚刚更改了答案。根据他们的 documentation/FAQ:
,RDS 现在符合 HIPAA 标准What Services Can I Use in My AWS Account if I Have a BAA with AWS?
Customers may use any AWS service in an account designated as a HIPAA account, but they should only process, store and transmit PHI in the HIPAA-eligible services defined in the BAA. There are nine HIPAA-eligible services today, including Amazon DynamoDB, Amazon EBS, Amazon EC2, Amazon Elastic MapReduce (EMR), Amazon Elastic Load Balancer (ELB), Amazon Glacier, Amazon Relational Database Service (RDS) [MySQL and Oracle engines], Amazon Redshift, and Amazon S3.
引用 Amazon Web Services 于 2015 年 12 月发布的白皮书(link 下文提到)
一旦您签署商业伙伴协议并且您的账户被指定为 "HIPAA account"
,Amazon RDS for Oracle 和 Amazon RDS for Mysql 就可以根据 HIPAA 标准使用
Link到白皮书-https://d0.awsstatic.com/whitepapers/compliance/AWS_HIPAA_Compliance_Whitepaper.pdf
Amazon RDS 是一个 AWS HIPAA-Eligible Service 意味着它可以与
一起使用为了在 AWS 中符合 HIPAA,您的团队必须执行以下操作:
- 与 AWS 签署商业伙伴协议 (BAA)。该协议概述了云提供商和云客户之间共享的 HIPAA 安全责任
- 采用适当的管理政策和程序
- 为单个云服务(例如 RDS、EC2 和 S3)实施所有必要的安全配置。安全标准包括围绕加密、备份和灾难恢复以及访问控制配置保护措施。